Panduan Utama SSL Certificates: Dari Konsep Inti hingga Deployment Gateway

Zhihuang Lin

Zhihuang Lin

September 2, 2024

Technology

Saat ini, HTTPS telah menjadi metode utama komunikasi jaringan dan digunakan secara luas di berbagai situs web dan layanan, terutama dalam skenario yang melibatkan transmisi informasi sensitif. HTTPS dibangun di atas protokol SSL/TLS, menyediakan saluran komunikasi terenkripsi yang memastikan keamanan dan integritas transmisi data, serta secara efektif mencegah kebocoran dan manipulasi data.

Sertifikat SSL, sebagai implementasi kunci dari protokol SSL/TLS dalam praktik, memainkan peran penting dalam memverifikasi identitas server dan mengamankan transmisi data.

Konsep Inti Sertifikat SSL

Sebelum mendalami sertifikat SSL, kita perlu memahami elemen inti dari operasinya, terutama yang melibatkan konsep kunci publik dan kunci privat.

  • Kunci Publik: Digunakan untuk mengenkripsi informasi. Setelah informasi dienkripsi dengan kunci publik, hanya kunci privat yang sesuai yang dapat mendekripsi dan membaca kontennya.

  • Kunci Privat: Digunakan untuk mendekripsi informasi. Kunci ini memiliki hubungan satu-ke-satu dengan kunci publik, artinya kunci privat hanya dapat mendekripsi informasi yang dienkripsi oleh kunci publik yang sesuai.

Kunci publik dan kunci privat dihasilkan sebagai pasangan melalui algoritma; mereka terkait secara matematis tetapi tidak dapat diturunkan satu sama lain. Kunci publik tersedia secara terbuka dan dapat diakses oleh siapa saja, sementara kunci privat bersifat rahasia dan hanya diketahui oleh pemegang kunci, yang merupakan landasan dari algoritma enkripsi asimetris.

Misalnya, anggaplah Anda ingin bertukar informasi terenkripsi dengan situs web bank. Proses dasarnya adalah sebagai berikut:

  1. Bank pertama-tama memberikan Anda kunci publiknya. Kunci publik ini diungkapkan secara aman (misalnya, di situs web resmi bank atau melalui otoritas sertifikat pihak ketiga yang tepercaya). Kunci publik adalah bagian dari pasangan kunci yang digunakan bank untuk menerima informasi terenkripsi.

  2. Anda menggunakan kunci publik ini untuk mengenkripsi informasi pribadi yang ingin Anda kirim ke bank. Enkripsi ini memastikan bahwa hanya pihak yang memiliki kunci privat yang sesuai (yaitu bank) yang dapat mendekripsi dan membaca informasi tersebut. Bahkan jika data terenkripsi disadap oleh orang lain, data tersebut tidak dapat didekripsi karena hanya bank yang memiliki kunci privat.

  3. Ketika bank menerima informasi terenkripsi, bank menggunakan kunci privatnya untuk mendekripsinya. Karena kunci privat unik untuk bank dan dipasangkan dengan kunci publik, bank dapat berhasil mendekripsi dan membaca informasi pribadi yang Anda kirim.

  4. Setelah mendekripsi dan membaca informasi Anda, bank memproses permintaan atau instruksi Anda sesuai kebutuhan. Jika diperlukan, bank juga dapat menggunakan kunci publik Anda untuk mengenkripsi balasannya guna memastikan keamanan responsnya.

Meskipun proses komunikasi enkripsi ini tampak sempurna, ada risiko: kunci publik yang Anda terima awalnya mungkin bukan dari bank, melainkan dari penipu yang berpura-pura sebagai bank. Ini berarti bahwa jika Anda menggunakan kunci publik palsu ini untuk enkripsi tanpa memverifikasi keasliannya, informasi apa pun yang disadap dapat didekripsi oleh kunci privat palsu yang sesuai, yang mengakibatkan kebocoran informasi.

Untuk mengatasi masalah ini, diperlukan mekanisme untuk memverifikasi legitimasi kunci publik. Di sinilah konsep Certificate Authority (CA) muncul. CA secara khusus bertanggung jawab untuk menerbitkan sertifikat CA yang digunakan untuk memvalidasi keaslian kunci publik. Jika kunci publik tidak sah, kunci tersebut tidak boleh digunakan untuk enkripsi.

Sertifikat SSL adalah jenis sertifikat CA yang diterbitkan oleh CA. Sertifikat ini mencakup kunci publik server dan tanda tangan CA, sementara kunci privat biasanya dipegang oleh pemilik server. Bersama-sama, kunci publik dan kunci privat bekerja untuk memastikan keamanan dan integritas transmisi data.

Sertifikat SSL

Setelah memahami konsep kunci publik, kunci privat, dan sertifikat CA, langkah selanjutnya adalah mengeksplorasi bagaimana konsep-konsep ini diterapkan dalam komunikasi dunia nyata. Karena sertifikat SSL digunakan untuk enkripsi komunikasi, penting untuk memahami cara menerapkan sertifikat ini dengan benar guna memastikan keamanan komunikasi dan kerahasiaan data.

Bagaimana Cara Menerapkan Sertifikat pada API Gateway?

Setelah memahami konsep inti sertifikat SSL, mari kita bahas cara menerapkannya. Dalam praktiknya, sertifikat biasanya diterapkan pada gateway karena gateway berfungsi sebagai titik masuk untuk semua permintaan klien, memainkan peran kritis dalam menerima, mendistribusikan, memproses, memfilter, dan mengenkripsi data antar jaringan.

Dari perspektif manajemen, menerapkan sertifikat pada gateway sangat menyederhanakan proses manajemen sertifikat. Karena semua komunikasi terenkripsi terjadi melalui gateway, sertifikat SSL hanya perlu dikonfigurasi dan dikelola pada gateway, bukan secara individual pada setiap server yang memerlukan transmisi terenkripsi.

Misalnya, di gateway sumber terbuka Apache APISIX, menerapkan sertifikat SSL melibatkan dua langkah utama:

  1. Mempersiapkan Sertifikat SSL: Membeli sertifikat SSL dari CA atau menghasilkan sertifikat yang ditandatangani sendiri (hanya untuk lingkungan pengujian) dan mendapatkan file sertifikat (format .crt atau .pem) serta file kunci privat (format .key).

  2. Menambahkan Sumber Daya Sertifikat melalui Admin API: APISIX menyediakan Admin API yang memungkinkan Anda membuat, memperbarui, dan menghapus sumber daya SSL secara dinamis. Anda dapat mengonfigurasi sumber daya SSL menggunakan permintaan HTTP PUT dengan menentukan sertifikat, kunci, dan daftar SNI (Server Name Indication) opsional.

Untuk mengonfigurasi sumber daya SSL untuk domain test.com, Anda dapat menggunakan perintah yang mirip dengan berikut:

curl http://127.0.0.1:9180/apisix/admin/ssls/1 \  
-H 'X-API-KEY: your-api-key' -X PUT -d'  
{  
    "cert" : "'"$(cat t/certs/apisix.crt)"'",
     "key": "'"$(cat t/certs/apisix.key)"'",
     "snis": ["*.test.com"]
}'

Jika Anda menggunakan NGINX, Anda harus memuat ulang konfigurasi setelah menyiapkan sertifikat SSL. Namun, APISIX mendukung pemuatan ulang panas, sehingga konfigurasi sertifikat langsung berlaku setelah menambahkan sumber daya SSL.

Alur Kerja Sertifikat SSL

Setelah sertifikat SSL dikonfigurasi, ketika klien mencoba terhubung ke test.com atau subdomainnya (misalnya, www.test.com, seperti yang ditentukan dalam daftar SNI *.test.com) melalui HTTPS, APISIX akan menggunakan sertifikat dan kunci yang disediakan untuk membangun koneksi aman. Alur kerja umumnya adalah sebagai berikut:

  1. Fase Handshake: Ketika server APISIX menerima permintaan pada port HTTPS (default: 9443), server memulai proses SSL handshake. Selama proses ini, APISIX mengirimkan sertifikat SSL yang telah dikonfigurasi sebelumnya ke klien. Sertifikat ini mencakup kunci publik server dan informasi tentang CA. Klien memvalidasi sertifikat, memeriksa apakah sertifikat diterbitkan oleh CA yang tepercaya, apakah sertifikat masih dalam masa berlaku, dan apakah nama domain cocok dengan domain yang diminta. Jika validasi berhasil, klien menghasilkan nomor acak sebagai Pre-Master Secret, mengenkripsinya dengan kunci publik server, dan mengirimkannya ke server.

  2. Pertukaran Kunci: APISIX mendekripsi Pre-Master Secret menggunakan kunci privat dari sumber daya SSL, mendapatkan Pre-Master Secret. Baik klien maupun server menggunakan Pre-Master Secret ini dan parameter lainnya (seperti nomor acak dan versi protokol) untuk menghitung Session Key bersama, yang akan digunakan untuk enkripsi dan dekripsi selanjutnya.

  3. Transmisi Data: Setelah pertukaran kunci, saluran terenkripsi yang aman terbentuk antara klien dan server APISIX. Klien menggunakan Session Key untuk mengenkripsi data sebelum mengirimkannya ke server APISIX, yang kemudian mendekripsinya menggunakan Session Key yang sama untuk mendapatkan data asli. Demikian pula, APISIX mengenkripsi data sebelum mengirimkannya kembali ke klien.

  4. Memproses Permintaan dan Mengembalikan Respons: APISIX memproses permintaan yang diterima (yang sekarang telah didekripsi) sesuai dengan rute yang dikonfigurasi. Sebelum mengembalikan respons, APISIX mengenkripsi data respons dengan Session Key untuk memastikan transmisi yang aman.

  5. Menutup Koneksi: Setelah komunikasi selesai, klien dan server APISIX menutup koneksi SSL dengan aman dan melepaskan sumber daya terkait.

Poin Penting dalam Manajemen Sertifikat SSL

Sertifikat SSL memastikan komunikasi yang aman dan terenkripsi antara klien dan server. Namun, sertifikat SSL saja tidak cukup untuk menjamin keamanan komunikasi jangka panjang; memahami pentingnya manajemen sertifikat SSL juga sangat penting. Manajemen sertifikat yang efektif memastikan validitas dan keamanan sertifikat yang berkelanjutan, mencegah risiko keamanan yang disebabkan oleh sertifikat yang kedaluwarsa atau salah kelola.

Saat mengelola sertifikat SSL pada gateway, poin-poin kunci berikut harus diperhatikan:

  1. Sertifikat SSL memiliki masa berlaku tetap. Setelah kedaluwarsa, browser akan menampilkan peringatan saat mengakses situs, yang berdampak negatif pada pengalaman pengguna dan kepercayaan situs. Administrator harus secara rutin memeriksa validitas sertifikat dan menyiapkan pengingat untuk memperbarui sertifikat tepat waktu sebelum kedaluwarsa.

  2. Seiring dengan pertumbuhan skala bisnis, mengelola sertifikat SSL secara manual menjadi semakin tidak praktis. Untuk meminimalkan kesalahan manusia dan menghemat waktu, disarankan untuk menggunakan alat otomatisasi (misalnya, klien ACME, Certbot) untuk secara otomatis mengajukan, menerapkan, memperbarui, dan mencabut sertifikat.

  3. Memantau status dan kinerja sertifikat SSL secara terpusat untuk segera mendeteksi dan menyelesaikan masalah potensial. Siapkan strategi peringatan yang efektif untuk memberi tahu administrator segera jika sertifikat akan kedaluwarsa, menunjukkan anomali, atau mengandung kerentanan keamanan.

Kesimpulan

Secara keseluruhan, sertifikat SSL memainkan peran penting dalam memastikan keamanan komunikasi jaringan. Dengan memahami prinsip dan manajemen sertifikat SSL serta menerapkannya secara efektif pada gateway, kita dapat secara signifikan meningkatkan keamanan dan integritas transmisi data. Ini tidak hanya melindungi informasi sensitif dari kebocoran atau manipulasi tetapi juga meningkatkan pengalaman pengguna dan kepercayaan situs web.

Tags:
SSL Certificate